La figura del delegado de protección de datos (DPD) constituye uno de los elementos claves del RGPD y un garante del cumplimiento de la normativa de protección de datos en las organizaciones. En el artículo de hoy vamos a profundizar funciones del Delegado de protección de datos en la empresa.
Tanto el RGPD como la Ley Orgánica 3/2018, de 5 de diciembre de Protección de Datos personales y garantía de los derechos digitales regulan de forma detallada las funciones del Delegado de Protección de Datos.
Las funciones del Delegado de Protección de Datos, que serán de información, asesoramiento y supervisión, se encuentran reguladas en el artículo 39 del RGPD que enumera algunas de las funciones inherentes y mínimas.
El artículo 39 del RGPD especifica que “el delegado de protección de datos tendrá como mínimo las siguientes funciones”, con la idea de señalar que esta lista será meramente ejemplificativa, sin perjuicio de las funciones que le pudieran ser asignadas por el responsable o encargado del tratamiento. Estas funciones son:
- Informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del RGPD y de otras disposiciones de protección de datos de la Unión o de los Estados miembros.
- Supervisar el cumplimiento de lo dispuesto en el RGPD o, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes.
- Ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto (EIPD) relativa a la protección de datos y supervisar su aplicación.
- Cooperar con la autoridad de control, la Agencia Española de Protección de Datos, la Agencia Catalana de Protección de Datos o la Agencia Vasca de Protección de Datos, según corresponda.
- Actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a la autoridad de control, y realizar consultas, en su caso, sobre cualquier otro asunto.
El DPD debe desempeñar sus funciones prestando la debida atención a los riesgos asociados a las operaciones de tratamiento, teniendo en cuenta la naturaleza, el alcance, el contexto y fines del tratamiento.
Otras funciones Delegado de Protección de Datos
El Esquema de la AEPD de Certificación de DPD, recoge una amplia gama de funciones genéricas del DPD concretadas en tareas de asesoramiento y supervisión, entre otras, de las siguientes áreas:
- Cumplimiento de principios relativos al tratamiento, como los de limitación de finalidad, minimización o exactitud de los datos.
- Identificación de las bases jurídicas de los tratamientos.
- Valoración de compatibilidad de finalidades distintas de las que originaron la recogida inicial de los datos.
- Determinación de la existencia de normativa sectorial que pueda determinar condiciones de tratamiento específicas distintas de las establecidas por la normativa general de protección de datos.
- Diseño e implantación de medidas de información a los afectados por los tratamientos de datos.
- Establecimiento de mecanismos de recepción y gestión de las solicitudes de ejercicio de derechos por parte de los interesados.
- Valoración de las solicitudes de ejercicio de derechos por parte de los interesados.
- Contratación de encargados de tratamiento, incluido el contenido de los contratos o actos jurídicos que regulen la relación responsable-encargado.
- Identificación de los instrumentos de transferencia internacional de datos adecuados a las necesidades y características de la organización y de las razones que justifiquen la transferencia.
- Diseño e implantación de políticas de protección de datos.
- Auditoría de protección de datos.
- Establecimiento y gestión de los registros de actividades de tratamiento.
- Análisis de riesgo de los tratamientos realizados.
- Implantación de las medidas de protección de datos desde el diseño y protección de datos por defecto adecuadas a los riesgos y naturaleza de los tratamientos.
- Implantación de las medidas de seguridad adecuadas a los riesgos y naturaleza de los tratamientos.
- Establecimiento de procedimientos de gestión de violaciones de seguridad de los datos, incluida la evaluación del riesgo para los derechos y libertades de los afectados y los procedimientos de notificación a las autoridades de supervisión y a los afectados.
- Determinación de la necesidad de realización de evaluaciones de impacto sobre la protección de datos.
- Realización de evaluaciones de impacto sobre la protección de datos.
- Relaciones con las autoridades de supervisión.
- Implantación de programas de formación y sensibilización del personal en materia de protección de datos.
Responsabilidad del Delegado de Protección de Datos
El responsable o encargado del tratamiento es el responsable del cumplimiento de las normas sobre protección de datos. La función del DPO de supervisar la observancia, no significa que el DPO sea responsable personalmente de cualquier caso de inobservancia.
El Reglamento dispone claramente que el cumplimiento de las normas en materia de protección de datos es responsabilidad corporativa del responsable del tratamiento.
En definitiva, si el responsable o encargado del tratamiento toman decisiones que son incompatibles con el RGPD y con el consejo del DPO, este debe de tener la posibilidad de expresar sus discrepancias con claridad a los encargados de la toma de decisiones y al más alto nivel de dirección.
El art. 38.3 del Reglamento establece que el DPO no será sancionado ni destituido por el responsable o encargado del tratamiento por desempeñar sus funciones. Salvo en los supuestos de dolo o negligencia grave.
Puede darse el caso en el que, por dejación de sus funciones, una mala praxis profesional o un mal asesoramiento puedan conllevar determinadas responsabilidades, incluso en el orden penal. Pueden derivar de acciones de comisión pura o de la comisión de tipos delictivos por omisión, en relación con sus funciones o posición de garante en el tratamiento de datos personales.
Por ejemplo, debe recordarse el deber de secreto y confidencialidad o la no adopción de sus funciones establecidas legalmente.
Quizás pueda interesarle el artículo sobre cómo Obtener la certificación como DPD. Delegado de protección de datos
Deja un comentario